Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   mehrere infektionen, kaum symptome (https://www.trojaner-board.de/94921-mehrere-infektionen-kaum-symptome.html)

lemor 20.01.2011 14:59
mehrere infektionen, kaum symptome
 
moin,
ich habe ein riesen problem mit einem infizierten rechner. ich weiss nicht wann und wie der rechner infiziert wurde und wie lange er schon korrumpiert ist, denn es zeigen sich kaum typische symptome. ich bin erst durch routerlogs darauf aufmerksam geworden das etwas nicht stimmt und konnte dann auch den rechner im netzwerk identifizieren. ich habe dann gleich ein paar tools ausgeführt die ihr hier empfiehlt, bräuchte dazu aber etwas hilfe. wäre nett wenn sich das wer anschauen könnte. thx

hijackthis log

HiJackthis Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:44:50, on 19.01.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
G:\QuickTime\qttask.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Nero\data\Xtras\mssysmgr.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
F:\Software\Opera\Opera.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Java\jre6\bin\jucheck.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
F:\Software\Malwarebytes' Anti-Malware\mbam.exe
F:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 72.32.122.8:80
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Software\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] F:\Software\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\PROGRA~1\Nero\data\Xtras\mssysmgr.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} (DLC Class) - https://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - hxxp://javadl.sun.com/webapps/download/AutoDL?BundleId=24931
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5649 bytes
--- --- ---



malwarebytes log

HTML-Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5557

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

20.01.2011 00:30:21
mbam-log-2011-01-20 (00-30-21).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 154614
Laufzeit: 6 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\**\lokale einstellungen\Temp\1a6d.tmp (Rogue.Installer) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\**\lokale einstellungen\Temp\richtx64.exe (Rogue.Installer) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\**\lokale einstellungen\Temp\wscsvc32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\**\lokale einstellungen\Temp\0.8855078086439663.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\**\lokale einstellungen\Temp\h8srtad47.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\**\lokale einstellungen\Temp\h8srtaeed.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
gmer log

GMER Logfile:
Code:
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-20 03:27:34
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 WDC_WD1600JB-55GVC0 rev.08.02D08
Running: lb2xnefp.exe; Driver: C:\DOKUME~1\**\LOKALE~1\Temp\kgtdqpog.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwAdjustPrivilegesToken [0xB344CA72]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwClose [0xB344D01E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwConnectPort [0xB344EA82]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwCreateFile [0xB344E438]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwCreateKey [0xB344C1E8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwCreateSymbolicLinkObject [0xB34503E4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwCreateThread [0xB344CE1A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwDeleteKey [0xB344C62A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwDeleteValueKey [0xB344C82A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwDeviceIoControlFile [0xB344E744]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwDuplicateObject [0xB34508F0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwEnumerateKey [0xB344C940]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwEnumerateValueKey [0xB344C9A8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwFsControlFile [0xB344E5FA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwLoadDriver [0xB344FEA8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwOpenFile [0xB344E294]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwOpenKey [0xB344C34A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwOpenProcess [0xB344CC40]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwOpenSection [0xB345040E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwOpenThread [0xB344CB96]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwQueryKey [0xB344CA10]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwQueryMultipleValueKey [0xB344C714]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwQueryValueKey [0xB344C4F2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwQueueApcThread [0xB3450110]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwReplaceKey [0xB344BE6A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwRequestWaitReplyPort [0xB344F30C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwRestoreKey [0xB344BFCC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwResumeThread [0xB34507C0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSaveKey [0xB344BC68]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSecureConnectPort [0xB344E924]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSetContextThread [0xB344CF18]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSetSecurityObject [0xB344FFA2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSetSystemInformation [0xB3450438]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSetValueKey [0xB344C3A0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSuspendProcess [0xB345051C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSuspendThread [0xB3450648]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSystemDebugControl [0xB344FDD4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwTerminateProcess [0xB344CCEA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwWriteVirtualMemory [0xB344CD5C]

Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  FsRtlCheckLockForReadAccess
Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!FsRtlCheckLockForReadAccess                                                            804E9FA0 5 Bytes  JMP B34631E8 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text          ntkrnlpa.exe!IoIsOperationSynchronous                                                                804EE87E 5 Bytes  JMP B34635A2 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text          ntkrnlpa.exe!ZwCallbackReturn + 23E0                                                                80501C18 4 Bytes  JMP 0E10B344
.text          ntkrnlpa.exe!ZwCallbackReturn + 2408                                                                80501C40 4 Bytes  CALL 8B036106
.text          ntkrnlpa.exe!ZwCallbackReturn + 26AC                                                                80501EE4 4 Bytes  JMP 4C4CD22D
.text          ntkrnlpa.exe!ZwCallbackReturn + 2758                                                                80501F90 12 Bytes  [1C, 05, 45, B3, 48, 06, 45, ...]
.text          ntkrnlpa.exe!ZwCallbackReturn + 2768                                                                80501FA0 4 Bytes  JMP B2B344CC
?              cceip.sys                                                                                            Das System kann die angegebene Datei nicht finden. !
.text          C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                            section is writeable [0xB6209380, 0x566445, 0xE8000020]
.text          C:\WINDOWS\system32\DRIVERS\atksgt.sys                                                              section is writeable [0xB0B5E300, 0x22020, 0xE8000020]
.text          C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                              section is writeable [0xB83F8300, 0x1B7E, 0xE8000020]
init            C:\WINDOWS\System32\atkosdmini.dll                                                                  entry point in "init" section [0xBD04A480]

---- User code sections - GMER 1.0.15 ----

?              C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[724] C:\WINDOWS\system32\kernel32.dll  time/date stamp mismatch;
.text          C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[724] USER32.dll!AlignRects + FFFA5598  7E362A78 4 Bytes  [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }
?              C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[1956] C:\WINDOWS\system32\kernel32.dll  time/date stamp mismatch;
.text          C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[1956] USER32.dll!AlignRects + FFFA5598  7E362A78 4 Bytes  [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject]                              [B78F1820] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject]                              [B78F1820] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                            kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                            kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                            kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                          kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                            fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
--- --- ---


TDSS Killer log

HTML-Code:
2011/01/19 23:58:31.0916        TDSS rootkit removing tool 2.4.14.0 Jan 18 2011 09:33:51
2011/01/19 23:58:31.0916        ================================================================================
2011/01/19 23:58:31.0916        SystemInfo:
2011/01/19 23:58:31.0916       
2011/01/19 23:58:31.0916        OS Version: 5.1.2600 ServicePack: 3.0
2011/01/19 23:58:31.0916        Product type: Workstation
2011/01/19 23:58:31.0916        ComputerName: ***
2011/01/19 23:58:31.0916        UserName: ***
2011/01/19 23:58:31.0916        Windows directory: C:\WINDOWS
2011/01/19 23:58:31.0916        System windows directory: C:\WINDOWS
2011/01/19 23:58:31.0916        Processor architecture: Intel x86
2011/01/19 23:58:31.0916        Number of processors: 1
2011/01/19 23:58:31.0916        Page size: 0x1000
2011/01/19 23:58:31.0916        Boot type: Normal boot
2011/01/19 23:58:31.0916        ================================================================================
2011/01/19 23:58:32.0556        Initialize success
2011/01/19 23:58:37.0447        ================================================================================
2011/01/19 23:58:37.0447        Scan started
2011/01/19 23:58:37.0447        Mode: Manual;
2011/01/19 23:58:37.0447        ================================================================================
2011/01/19 23:58:41.0213        ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/01/19 23:58:41.0697        ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/01/19 23:58:42.0603        aec            (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/01/19 23:58:43.0103        AFD            (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2011/01/19 23:58:44.0978        ALCXWDM        (c881453898eec64027274ebb3c8cbc0f) C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2011/01/19 23:58:47.0916        asuskbnt        (f5c2ccdb273a546e9c3a15250f1d9165) C:\WINDOWS\system32\drivers\atkkbnt.sys
2011/01/19 23:58:48.0400        AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/01/19 23:58:48.0853        atapi          (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/01/19 23:58:49.0775        atksgt          (5b80e84af6b02ecab72dae9afee06309) C:\WINDOWS\system32\DRIVERS\atksgt.sys
2011/01/19 23:58:50.0244        Atmarpc        (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/01/19 23:58:50.0681        audstub        (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/01/19 23:58:51.0134        Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/01/19 23:58:51.0603        cbidf2k        (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/01/19 23:58:52.0525        Cdaudio        (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/01/19 23:58:53.0025        Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/01/19 23:58:53.0478        Cdrom          (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/01/19 23:58:56.0166        Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/01/19 23:58:56.0634        dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/01/19 23:58:57.0088        dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/01/19 23:58:57.0572        dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/01/19 23:58:58.0119        DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/01/19 23:58:59.0650        drmkaud        (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/01/19 23:59:00.0150        EIO            (6f41da43aa4806a7bdbb2f9a8b05023e) C:\WINDOWS\system32\drivers\EIO.sys
2011/01/19 23:59:00.0697        Fastfat        (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/01/19 23:59:01.0416        Fdc            (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/01/19 23:59:01.0900        Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/01/19 23:59:02.0728        Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/01/19 23:59:03.0338        FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/01/19 23:59:03.0822        Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/01/19 23:59:04.0447        Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/01/19 23:59:05.0134        gameenum        (065639773d8b03f33577f6cdaea21063) C:\WINDOWS\system32\DRIVERS\gameenum.sys
2011/01/19 23:59:05.0650        Gpc            (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/01/19 23:59:06.0213        HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/01/19 23:59:07.0322        HSFHWBS2        (881d1c3a64904f4b6068013a99a5855b) C:\WINDOWS\system32\DRIVERS\HSFHWBS2.sys
2011/01/19 23:59:07.0963        HSF_DP          (8ed6714c8e754520dd8a939f91383ea0) C:\WINDOWS\system32\DRIVERS\HSF_DP.sys
2011/01/19 23:59:08.0931        HSF_DPV        (a95fd53bdc95ad15b7a86549185c3cc7) C:\WINDOWS\system32\DRIVERS\HSX_DPV.sys
2011/01/19 23:59:09.0697        HSXHWBS2        (37127bf673c468d7e573cdd3a05af739) C:\WINDOWS\system32\DRIVERS\HSXHWBS2.sys
2011/01/19 23:59:10.0306        HTTP            (f6aacf5bce2893e0c1754afeb672e5c9) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/01/19 23:59:12.0525        i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/01/19 23:59:14.0056        Imapi          (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/01/19 23:59:16.0291        Ip6Fw          (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/01/19 23:59:16.0916        IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/01/19 23:59:17.0463        IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/01/19 23:59:18.0103        IpNat          (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/01/19 23:59:18.0791        IPSec          (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/01/19 23:59:19.0509        IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/01/19 23:59:20.0056        isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/01/19 23:59:20.0666        Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/01/19 23:59:21.0103        kbdhid          (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2011/01/19 23:59:21.0666        kl1            (cd6a8fa9395460ffe7fd8881a6c67254) C:\WINDOWS\system32\drivers\kl1.sys
2011/01/19 23:59:22.0181        klbg            (f9089982ed97340984e3dd60edd75490) C:\WINDOWS\system32\drivers\klbg.sys
2011/01/19 23:59:22.0853        KLIF            (058920abbb6b531d3ae72403990367b6) C:\WINDOWS\system32\DRIVERS\klif.sys
2011/01/19 23:59:23.0525        klim5          (cd16a39c6f61c2ae0272e1f431353bf7) C:\WINDOWS\system32\DRIVERS\klim5.sys
2011/01/19 23:59:24.0134        kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/01/19 23:59:24.0681        KSecDD          (1705745d900dabf2d89f90ebaddc7517) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/01/19 23:59:25.0744        lirsgt          (975b6cf65f44e95883f3855bae8cecaf) C:\WINDOWS\system32\DRIVERS\lirsgt.sys
2011/01/19 23:59:26.0291        mdmxsdk        (3c318b9cd391371bed62126581ee9961) C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys
2011/01/19 23:59:26.0869        mnmdd          (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/01/19 23:59:27.0650        Modem          (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/01/19 23:59:28.0650        MODEMCSA        (1992e0d143b09653ab0f9c5e04b0fd65) C:\WINDOWS\system32\drivers\MODEMCSA.sys
2011/01/19 23:59:29.0197        Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/01/19 23:59:29.0791        mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/01/19 23:59:30.0416        MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/01/19 23:59:31.0541        MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/01/19 23:59:32.0197        MRxSmb          (60ae98742484e7ab80c3c1450e708148) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/01/19 23:59:33.0103        Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/01/19 23:59:33.0650        MSKSSRV        (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/01/19 23:59:34.0259        MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/01/19 23:59:34.0822        MSPQM          (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/01/19 23:59:35.0338        mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/01/19 23:59:35.0838        ms_mpu401      (ca3e22598f411199adc2dfee76cd0ae0) C:\WINDOWS\system32\drivers\msmpu401.sys
2011/01/19 23:59:36.0775        MTsensor        (d48659bb24c48345d926ecb45c1ebdf5) C:\WINDOWS\system32\DRIVERS\ASACPI.sys
2011/01/19 23:59:37.0338        Mup            (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/01/19 23:59:37.0947        NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/01/19 23:59:38.0541        NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/01/19 23:59:39.0150        Ndisuio        (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/01/19 23:59:39.0728        NdisWan        (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/01/19 23:59:40.0259        NDProxy        (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/01/19 23:59:40.0775        NetBIOS        (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/01/19 23:59:41.0306        NetBT          (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/01/19 23:59:41.0869        Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/01/19 23:59:42.0509        Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/01/19 23:59:43.0088        Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/01/19 23:59:44.0384        nv              (30913cbf518396912e54c2c9f1dd0f09) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
2011/01/19 23:59:45.0197        nvata          (0344aa9113dc16eec379f4652020849d) C:\WINDOWS\system32\DRIVERS\nvata.sys
2011/01/19 23:59:45.0759        NVENETFD        (720cc533eecb65553bd86b139ca04433) C:\WINDOWS\system32\DRIVERS\NVENETFD.sys
2011/01/19 23:59:46.0306        nvnetbus        (5f9f545cc5904dd8765f84ee1d056406) C:\WINDOWS\system32\DRIVERS\nvnetbus.sys
2011/01/19 23:59:46.0884        NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/01/19 23:59:47.0478        NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/01/19 23:59:47.0916        o1394bul        (b97f189728d0655d468ec6002b5f6a97) C:\DOKUME~1\***\LOKALE~1\Temp\o1394bul.sys
2011/01/19 23:59:48.0416        Parport        (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/01/19 23:59:48.0978        PartMgr        (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/01/19 23:59:49.0494        ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/01/19 23:59:50.0041        PCI            (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/01/19 23:59:51.0213        PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/01/19 23:59:51.0728        Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/01/19 23:59:55.0775        PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/01/19 23:59:56.0322        Processor      (2cb55427c58679f49ad600fccba76360) C:\WINDOWS\system32\DRIVERS\processr.sys
2011/01/19 23:59:56.0916        PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/01/19 23:59:57.0431        Ptilink        (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/01/20 00:00:01.0650        RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/01/20 00:00:02.0228        Rasl2tp        (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/01/20 00:00:02.0775        RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/01/20 00:00:03.0322        Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/01/20 00:00:03.0791        Rdbss          (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/01/20 00:00:04.0259        RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/01/20 00:00:04.0744        rdpdr          (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/01/20 00:00:05.0228        RDPWD          (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/01/20 00:00:05.0650        redbook        (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/01/20 00:00:06.0369        Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/01/20 00:00:06.0900        serenum        (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/01/20 00:00:07.0447        Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/01/20 00:00:08.0588        Sfloppy        (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/01/20 00:00:10.0213        splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/01/20 00:00:10.0759        sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/01/20 00:00:11.0306        Srv            (3bb03f2ba89d2be417206c373d2af17c) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/01/20 00:00:11.0838        swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/01/20 00:00:12.0369        swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/01/20 00:00:15.0228        sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/01/20 00:00:15.0853        Tcpip          (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/01/20 00:00:16.0400        TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/01/20 00:00:16.0931        TDTCP          (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/01/20 00:00:17.0556        TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/01/20 00:00:18.0619        Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/01/20 00:00:19.0759        Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/01/20 00:00:20.0353        usbehci        (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/01/20 00:00:20.0947        usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/01/20 00:00:21.0556        usbohci        (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/01/20 00:00:22.0119        usbscan        (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/01/20 00:00:22.0697        USBSTOR        (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/01/20 00:00:23.0634        VgaSave        (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/01/20 00:00:24.0713        vmm            (590c7a3a1133e51a7e1cef67366e75af) C:\WINDOWS\system32\Drivers\vmm.sys
2011/01/20 00:00:25.0338        VolSnap        (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/01/20 00:00:25.0838        VPCNetS2        (f96a678debdccb0b4bb7f38cb2580589) C:\WINDOWS\system32\DRIVERS\VMNetSrv.sys
2011/01/20 00:00:26.0431        Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/01/20 00:00:27.0463        wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/01/20 00:00:28.0088        winachsf        (7dd2ec1efd9f48843ffc5815aebf1068) C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys
2011/01/20 00:00:29.0197        WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/01/20 00:00:29.0744        WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/01/20 00:00:30.0025        ================================================================================
2011/01/20 00:00:30.0025        Scan finished
2011/01/20 00:00:30.0025        ================================================================================
2011/01/20 00:00:37.0291        Deinitialize success

markusg 20.01.2011 15:04
was ist denn das problem mit dem pc, außer natürlich das offensichtliche was ich im malwarebytes log gesehen hab.
hast du bereits andere programme, wie kaspersky genutzt, was wurde wo gefunden?

lemor 20.01.2011 15:35
hi markus

typische symptome wie werbung oder blinkende symbole habe ich nicht, auch keine weiterleitungen. wenn ich eine seite aufrufe, wird die kurz geladen dann gibt es einen kurzen unterbruch von 1-2 sekunden bis dann die seite ganz geladen wird, als wenn dazwischen noch etwas stecken würde. zudem habe ich einige icons verloren und eine file extension wurde geändert. ich habe das auf das alter des rechners geschoben aber die routerlogs sind ziemlich eindeutig. ich habe pro stunde etwa 10 connections auf den selben port und das von verschiedenen clients. ich kann mir das nicht anders erklären. ich habe etwas paranoia das ich ein backdoor draufhabe oder bereits mitglied eines botnets bin.

tdsskiller hat noch dieses aktive file gefunden. o1394bul.sys . das ist auch schon öfters hier erwähnt worden.

kaspersky muss ich ehrlich gesagt sagen ist nicht aktuell, gefunden hat er die letzte zeit nichts. der rechner wird nur wenig für internet benutzt, deswegen wurde das leider vernachlässigt.

edit: ich transferiere die tools und logs per usb stick und musste eben 3 verschiedene sticks probieren bis er die daten lesen konnte. notification icon und soundfile sind ebenfalls verschwunden. das könnte auch damit zu tun haben.

markusg 20.01.2011 16:11
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
um was für ei netzwerk handelt es sich, firmennetz?

lemor 20.01.2011 16:29
combofix werde ich gleich erledigen.
ne zum glück nicht, das netzwerk ist privat.

markusg 20.01.2011 16:37
wie viele pcs sind denn in dem netzwerk?
zu welchen ips wird verbunden kannst du das log auszugsweise posten? bzw kannst du ja dann evtl. auch prüfen von welchem pc dieser versuch ausgeht, anhand der ip

lemor 20.01.2011 21:38
es sind 6 pc's im netzwerk.ein pc hatte 2 udp und eine aktive tcp connection offen die ich gleich geblockt habe, seither wird wohl versucht auf diesen tcp port zuzugreifen.
die logs werden nach 30 seiten überschrieben deswegen kann ich das auch nicht mehr genau analysieren.

sowas habe ich jetzt im log, der port variiert leicht.

HTML-Code:
Thursday January 20, 2011 06:13:44 Unrecognized attempt blocked from 60.191.234.226:9999 to *.73 TCP:20827
Thursday January 20, 2011 06:27:15 Unrecognized attempt blocked from 83.139.175.37:4622 to *.73 TCP:20826
Thursday January 20, 2011 06:27:18 Unrecognized attempt blocked from 83.139.175.37:4622 to *.73 TCP:20826
Thursday January 20, 2011 06:43:28 Unrecognized attempt blocked from 61.54.227.135:1924 to *.73 TCP:20826
Thursday January 20, 2011 07:04:19 Unrecognized attempt blocked from 84.51.96.104:1158 to *.73 TCP:20826
Thursday January 20, 2011 07:04:22 Unrecognized attempt blocked from 84.51.96.104:1158 to *.73 TCP:20826
Thursday January 20, 2011 07:13:40 Unrecognized attempt blocked from 113.30.50.26:4195 to *.73 TCP:20826
Thursday January 20, 2011 07:13:43 Unrecognized attempt blocked from 113.30.50.26:4195 to *.73 TCP:20826
Thursday January 20, 2011 07:13:49 Unrecognized attempt blocked from 113.30.50.26:4195 to *.73 TCP:20826
HTML-Code:
Thursday January 20, 2011 07:56:08 Unrecognized attempt blocked from 213.198.217.140:4578 to *.73 TCP:20826
Thursday January 20, 2011 07:56:11 Unrecognized attempt blocked from 213.198.217.140:4578 to *.73 TCP:20826
Thursday January 20, 2011 07:58:14 Unrecognized attempt blocked from 84.20.80.209:1926 to *.73 TCP:20826
Thursday January 20, 2011 07:58:17 Unrecognized attempt blocked from 84.20.80.209:1926 to *.73 TCP:20826
Thursday January 20, 2011 08:12:56 Unrecognized attempt blocked from 77.58.83.62:1124 to *.73 TCP:20825
Thursday January 20, 2011 08:12:59 Unrecognized attempt blocked from 77.58.83.62:1124 to *.73 TCP:20825
combofix machte einige probleme, ist ein paar mal abgestürtzt, danach wollte er exbr.sys und catchme.sys installieren. ich habe das blockiert, war das richtig? hier das log,

Combofix Logfile:
Code:
ComboFix 11-01-19.01 - *** 20.01.2011  18:17:08.3.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3071.2494 [GMT 1:00]
ausgeführt von:: f:\temp\ComboFix.exe
AV: Kaspersky Anti-Virus *Disabled/Outdated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

(((((((((((((((((((((((  Dateien erstellt von 2010-12-20 bis 2011-01-20  ))))))))))))))))))))))))))))))
.

2011-01-19 22:38 . 2011-01-19 22:38        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2011-01-19 22:38 . 2010-12-20 17:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-19 22:38 . 2011-01-19 22:38        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-19 22:38 . 2010-12-20 17:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-01-11 08:46 . 2011-01-11 08:46        98304        ----a-w-        c:\windows\system32\CmdLineExt.dll
2011-01-11 08:28 . 2004-10-22 01:16        180224        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\50\Intel32\iuser.dll
2011-01-11 08:28 . 2004-10-22 01:17        274432        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\50\Intel32\iscript.dll
2011-01-11 08:28 . 2004-10-22 01:17        69715        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\50\Intel32\ctor.dll
2011-01-11 08:28 . 2004-10-22 01:16        5632        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\50\Intel32\DotNetInstaller.exe
2011-01-11 08:28 . 2004-10-22 01:18        749568        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\50\Intel32\iKernel.dll
2011-01-11 08:27 . 2011-01-11 08:27        192644        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\50\Intel32\iGdi.dll
2011-01-11 08:27 . 2011-01-11 08:27        323716        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\50\Intel32\setup.dll

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-20 16:47 . 2007-01-31 13:26        1409        ----a-w-        c:\windows\QTFont.for
2010-10-31 20:35 . 2008-11-22 10:26        165232        ---ha-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Virtual PC\VPCKeyboard.dll
.

(((((((((((((((((((((((((((((  SnapShot@2011-01-20_02.44.33  )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-01-20 16:24 . 2011-01-20 16:24        12288              c:\windows\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\website1\ba49ab1d\9c3f7c89\App_Web_default.master.cdcab7d2.zwwjjf81.dll
+ 2011-01-20 16:24 . 2011-01-20 16:24        13312              c:\windows\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\website1\ba49ab1d\9c3f7c89\App_Code.xut9q229.dll
+ 2011-01-20 16:24 . 2011-01-20 16:24        6656              c:\windows\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\website1\ba49ab1d\9c3f7c89\App_global.asax.qhpnw_qa.dll
+ 2008-12-07 19:02 . 2011-01-20 15:42        6583840              c:\windows\system32\drivers\fidbox.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PhotoShow Deluxe Media Manager"="c:\progra~1\Nero\data\Xtras\mssysmgr.exe" [2005-02-26 212992]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-10-24 90112]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"QuickTime Task"="g:\quicktime\qttask.exe" [2007-01-31 77824]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-29 136600]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2009-09-05 208616]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-04-03 13670504]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-04-03 110696]
"Adobe Reader Speed Launcher"="f:\software\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"e:\\Games\\Atari\\ACTOFWAR.EXE"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 18:29 33808]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30.04.2008 18:06 24592]
S3 o1394bul;o1394bul;\??\c:\dokume~1\***\LOKALE~1\Temp\o1394bul.sys --> c:\dokume~1\***\LOKALE~1\Temp\o1394bul.sys [?]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\c:\windows\system32\PLCMPR5.SYS --> c:\windows\system32\PLCMPR5.SYS [?]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;h:\visual-studio-2005\Common7\IDE\Remote Debugger\x86\msvsmon.exe [09.12.2005 09:40 2799808]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-nwiz - nwiz.exe
MSConfigStartUp-RGSC - e:\games\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe
AddRemove-NVIDIA Display Control Panel - c:\programme\NVIDIA Corporation\Uninstall\nvuninst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-20 17:19
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1993962763-2052111302-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:ba,12,cd,bd,b5,f6,85,0f,8c,5e,f2,da,72,51,0c,e9,6f,2a,09,e2,25,
  54,cb,c6,e6,aa,40,35,58,87,57,c1,30,88,a6,3d,a7,c4,61,df,19,c0,f9,91,74,52,\
"rkeysecu"=hex:21,99,a7,cd,5a,e1,35,33,39,55,e8,2f,45,6f,1f,35
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3748)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2011-01-20  18:26:50
ComboFix-quarantined-files.txt  2011-01-20 17:20

Vor Suchlauf: 13 Verzeichnis(se), 36'840'329'216 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 36'818'874'368 Bytes frei

- - End Of File - - 020A38C6968505348B965185AD23A323[/HTML]
--- --- ---
HTML-Code:
2011-01-20 19:22:29 . 2011-01-20 19:22:29            1,198 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\AddRemove-NVIDIA Display Control Panel.reg.dat
2011-01-20 19:22:18 . 2011-01-20 19:22:18              660 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-RGSC.reg.dat
2011-01-20 19:22:08 . 2011-01-20 19:22:08              113 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-nwiz.reg.dat
2011-01-20 19:16:06 . 2011-01-20 17:18:37            6,399 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2011-01-20 19:12:09 . 2011-01-20 17:16:34              153 ----a-w-  C:\Qoobox\Quarantine\catchme.log

markusg 21.01.2011 13:21
welcher pc, der an dem wir grad arbeiten.

lemor 21.01.2011 16:11
moinsen,
richtig, die aktiven sessions bestanden zu diesem rechner. habe die tools auf allen pc's ausgeführt und dies war ebenfalls der einzige rechner auf dem was gefunden wurde.

ich habe mir jetzt schonmal einen neuen router besorgt, aber so wie es ausschaut ist der auch ziemlich beschränkt.

markusg 21.01.2011 16:22
poste einen gmer report bitte:
http://www.trojaner-board.de/74908-a...t-scanner.html

lemor 21.01.2011 17:21
werde ich machen, sobald ich zuhause bin, das wird noch etwas dauern, muss bis 8 uhr arbeiten.

markusg 21.01.2011 18:06
keine eile, und mein beileid :p

lemor 22.01.2011 11:30
ging doch noch etwas länger, war um 10 uhr noch immer im büro dafür gab es wenigstens noch ein feierabend bier :kaffee:


GMER Logfile:
Code:
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-22 01:26:16
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 WDC_WD1600JB-55GVC0 rev.08.02D08
Running: lb2xnefp.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\kgtdqpog.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwAdjustPrivilegesToken [0xB321CA72]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwClose [0xB321D01E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwConnectPort [0xB321EA82]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwCreateFile [0xB321E438]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwCreateKey [0xB321C1E8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwCreateSymbolicLinkObject [0xB32203E4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwCreateThread [0xB321CE1A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwDeleteKey [0xB321C62A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwDeleteValueKey [0xB321C82A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwDeviceIoControlFile [0xB321E744]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwDuplicateObject [0xB32208F0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwEnumerateKey [0xB321C940]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwEnumerateValueKey [0xB321C9A8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwFsControlFile [0xB321E5FA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwLoadDriver [0xB321FEA8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwOpenFile [0xB321E294]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwOpenKey [0xB321C34A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwOpenProcess [0xB321CC40]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwOpenSection [0xB322040E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwOpenThread [0xB321CB96]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwQueryKey [0xB321CA10]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwQueryMultipleValueKey [0xB321C714]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwQueryValueKey [0xB321C4F2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwQueueApcThread [0xB3220110]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwReplaceKey [0xB321BE6A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwRequestWaitReplyPort [0xB321F30C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwRestoreKey [0xB321BFCC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwResumeThread [0xB32207C0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSaveKey [0xB321BC68]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSecureConnectPort [0xB321E924]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSetContextThread [0xB321CF18]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSetSecurityObject [0xB321FFA2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSetSystemInformation [0xB3220438]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSetValueKey [0xB321C3A0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSuspendProcess [0xB322051C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSuspendThread [0xB3220648]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSystemDebugControl [0xB321FDD4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwTerminateProcess [0xB321CCEA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwWriteVirtualMemory [0xB321CD5C]

Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  FsRtlCheckLockForReadAccess
Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!FsRtlCheckLockForReadAccess                                                            804E9FA0 5 Bytes  JMP B32331E8 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text          ntkrnlpa.exe!IoIsOperationSynchronous                                                                804EE87E 5 Bytes  JMP B32335A2 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text          ntkrnlpa.exe!ZwCallbackReturn + 23E0                                                                80501C18 4 Bytes  JMP 0E10B321
.text          ntkrnlpa.exe!ZwCallbackReturn + 2408                                                                80501C40 4 Bytes  CALL 8B033E06
.text          ntkrnlpa.exe!ZwCallbackReturn + 26AC                                                                80501EE4 4 Bytes  JMP 4C4CD20A
.text          ntkrnlpa.exe!ZwCallbackReturn + 2758                                                                80501F90 12 Bytes  [1C, 05, 22, B3, 48, 06, 22, ...]
.text          ntkrnlpa.exe!ZwCallbackReturn + 2768                                                                80501FA0 4 Bytes  JMP B2B321CC
.text          C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                            section is writeable [0xB5FD9380, 0x566445, 0xE8000020]
.text          C:\WINDOWS\system32\DRIVERS\atksgt.sys                                                              section is writeable [0xB2845300, 0x22020, 0xE8000020]
.text          C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                              section is writeable [0xB8368300, 0x1B7E, 0xE8000020]
init            C:\WINDOWS\System32\atkosdmini.dll                                                                  entry point in "init" section [0xBD04A480]

---- User code sections - GMER 1.0.15 ----

?              C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[804] C:\WINDOWS\system32\kernel32.dll  time/date stamp mismatch;
.text          C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[804] USER32.dll!AlignRects + FFFA5598  7E362A78 4 Bytes  [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }
?              C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[1960] C:\WINDOWS\system32\kernel32.dll  time/date stamp mismatch;
.text          C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[1960] USER32.dll!AlignRects + FFFA5598  7E362A78 4 Bytes  [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject]                              [B78F1820] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject]                              [B78F1820] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                            kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                            kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                            kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                          kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- EOF - GMER 1.0.15 ----
--- --- ---

markusg 22.01.2011 11:31
mach mal nen upgrade auf kaspersky 2011 sollte kostenlos gehen und scanne dann mal.

lemor 22.01.2011 18:26
Liste der Anhänge anzeigen (Anzahl: 1)
das hat geklappt. der scan läuft, poste dann das logfile.

ich bekamm heute noch eine komische meldung, hab sie als jpeg angehängt.

kannst du schon was sagen über die art der infektion?

markusg 22.01.2011 18:29
nein ich sehe nichts bisher, außer das von mbam gefundene.
kann leider nichts auf bildern erkennen, kannst du die meldung als text posten bitte?

lemor 22.01.2011 18:36
habe die meldung abgeschrieben.

"Es konnten nicht alle daten für die Datei \..\DP(1)0-0+d gespeichert werden.die daten gingen verloren. mögliche ursachen könnten computerhardware oder netzwerkverbindungen sein. versuchen sie die datein woanders zu speichern."

markusg 22.01.2011 18:38
ist das öffter aufgetreten? vllt müssen wir mal nen festplatten check machen, nach kaspersky scan

lemor 22.01.2011 18:40
ne diese meldung sagt mir überhaupt nichts, die sehe ich zum ersten mal. kaspersky ist bei 30%

lemor 22.01.2011 19:43
kav hat ein backdoor gefunden

Gelöscht (1)
22.01.2011 19:22:54 Gelöscht trojanisches Programm Backdoor.Win32.IRCNite.bti c:\dokumente und einstellungen\***\anwendungsdaten\macromedia\flash player\www.macromedia.com\bin\octoshape\pmv302-0811070-0-main.dll Hoch
Gefunden (2)
22.01.2011 19:22:53 Gefunden legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen not-a-virus:Client-IRC.Win32.mIRC.616 f:\temp\download-apps\mirc616.exe//data0001.bin Niedrig
22.01.2011 19:22:53 Gefunden legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen not-a-virus:Client-IRC.Win32.mIRC.617 f:\temp\download-apps\mirc617.exe//data0001.bin Niedrig


edit: das konnte auch ein false positive sein. im kaspersky forum gab es ähnliche threads dazu. ein update der db sollte abhilfe schaffen, da ich jedoch keinen schlüssel mehr habe kann ich auch nicht updaten.

markusg 23.01.2011 11:35
was ist denn mit dem schlüssel von der 2009 version? oder wurde der nicht erneuert?

lemor 23.01.2011 12:28
der schlüssel ist im sommer letztes jahr abgelaufen und wurde nicht erneuert.

markusg 23.01.2011 12:56
du sagst ja der pc hat seit langem macken und ist ohne aktuelles av unterwegs, dann sollten wir ihn neu machen und mit aktuellem antivirus, von mir aus kostenlosem av, ausstatten und vernünftig absichern.
was nützt dir nen antivirus welches nicht aktualisiert wird...

lemor 23.01.2011 15:08
ja wirklich schlau ist das nicht, da ich nur wenig mit dem rechner im netz bin, habe ich dies "verschoben". also du meinst neu aufsetzen wäre die beste lösung. ich hatte gehofft das ich das umgehen könnte da ich software verlieren würde die ich nicht mehr besorgen kann. aber so wie er jetzt ist nützt er mir auch nichts, dann bleibt mir wohl nicht mehr viel anderes übrig.

markusg 23.01.2011 15:49
wie meinst du verlieren, gehts da um die lizenzen?

lemor 23.01.2011 16:09
ja, es geht vorallem um das visual studio 2005 und den sql server. das ist eine firmenlizenz die ich zum privaten gebrauch bekommen habe. ich bin zwar beruflich nicht daran gebunden jedoch wäre es schade wenn ich die verlieren würde da ich oft damit arbeite.

markusg 23.01.2011 16:36
und kann man die nicht irgendwo programm intern sichern, vllt steht auch was in den hilfedateien.

lemor 24.01.2011 11:14
ich hatte mich schon mal damit beschäftigt. ich wollte die software auf einen neuen rechner zügeln, bin jedoch daran gescheitert. offiziel wird nichts angeboten.
teures lehrgeld:(

kann ich jezt sichher sein das ich auf den platten e-m nichts mehr draufhabe wenn ich c formatiere. wie soll ich hierzu verfahren? du erwähntest noch einen festplattencheck. ich möchte einfach sicher gehen das ich nichts mehr drauf habe

markusg 24.01.2011 12:04
ja, öffne mal den arbeitsplatz rechtsklick c: eigenschaften, extras datenträger überprüfung, alle haken setzen, vor dem start alle aktieven programme aus, nicht am pc arbeiten, evtl. fehlermeldungen notieren.
und posten

lemor 24.01.2011 20:07
scan habe ich ausgeführt, platten scheinen in ordnung zu sein.
habe mir noch neue av besorgt, und werde mich jetzt mal ans formatieren machen.
also vielen dank für deine zeit und mühen.:daumenhoc

markusg 24.01.2011 20:10
http://www.trojaner-board.de/96344-a...-rechners.html

lemor 25.01.2011 11:54
moin,
danke für die liste , da ist einiges interessantes dabei. werde mir das anschauen, thx nochmal!


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131